신뢰할 수 있는 소프트웨어를 위한 소프트웨어 공급망 보안

[한국정보공학기술사 보안을 論하다-6] 신뢰할 수 있는 소프트웨어를 위하여

[한국정보공학기술사 보안을 論하다-6] 신뢰할 수 있는 소프트웨어를 위하여

 

• 소프트웨어 공급망 보안의 중요성
  • 현대 사회에서 소프트웨어는 다양한 산업과 일상에 핵심적인 역할을 담당함
  • 소프트웨어의 복잡성과 의존성 증가로 인해 보안 위협도 높아짐
  • 공급망 공격은 단일 제품이 아닌 전체 소프트웨어 생태계를 위협하므로 이에 대한 보호가 필수적임
• 주요 공급망 보안 사건과 교훈
  • 솔라윈즈(SolarWinds) 공격: 공급망 보안의 중요성을 각인시킨 대표적인 사례
  • 로그4j(Log4j) 취약점: 광범위한 영향력을 미친 오픈소스 취약점, 전 세계 개발자와 기업에 큰 충격
  • PyPI 파이썬 악성코드: 오픈소스 생태계를 통해 유포된 악성코드, 공급망의 취약성을 보여줌
  • xz/liblzma 백도어 사건: 널리 사용되는 오픈소스 소프트웨어에 백도어가 포함되어 발생한 보안 위협
• 안전한 소프트웨어 개발을 위한 접근법
  • 미국 NIST의 SSDF
    • NIST SP 800-218의 SSDF 프레임워크는 안전한 소프트웨어 개발을 위한 지침을 제공함
  • SSDF 주요 요소
    • 조직적 준비: 개발 전반에 보안을 통합하기 위한 체계적 준비
    • 자산 보호: 개발 환경과 관련 자산 보호를 위한 조치 마련
    • 안전한 코딩과 취약점 수정: 개발 과정에서 보안이 반영된 코드를 작성하고, 취약점을 식별 및 수정
    • 효과적인 취약점 대응: 생명주기에서 발견된 취약점에 빠르게 대응하는 전략 구축
• 국제적 움직임과 정책
  • 바이든 행정부의 행정명령(EO 14028): 미국 정부 차원에서 소프트웨어 공급망 보안을 강화하는 정책 제정
  • 백악관 OMB의 M-22-18 문서: 미국 정부와 계약하는 기업에 SSDF 준수 요구, 글로벌 보안 표준 강화 시사
• 소프트웨어 생명주기 보안 내재화의 필요성
  • 소프트웨어가 사용자에게 도달하는 전 과정에 걸쳐 보안 검토와 관리가 필수적임
  • 소프트웨어 개발 전 과정에서 보안을 통합하고 관리해야만 신뢰할 수 있는 소프트웨어 제품을 제공할 수 있음
  • 이는 개발 조직뿐 아니라 전 세계 소프트웨어 공급망을 보호하기 위한 필수 전략이 됨